逢此年末,岁月如梭,转眼间我们又站在了时光的岔口。回望过去的一年,我在公众号上累计分享了16篇文章,其中有一半是在最后一个月集中发出来的,对于文章分享属实很少,但细数这一年,还是对家庭网络做出了不少的改造,且听我慢慢道来。
设备升级
首先来聊聊硬件设备的升级。考虑到我家里需要长期稳定跑一些服务,对设备性能及稳定性要求较高,而且放在家里不能太吵,于是我采购了一台入门级戴尔服务器T150。关于这台服务器的采购,有两处伤心点,第一个是商家帮我配置的企业级固态出现2次掉盘,平均每月掉盘一次,数据彻底丢失,要通过其他地方进行恢复,当时非常折腾,整套系统迁移了两次,好在硬盘经销商比较给力,直接给换新后才结束了这些幺蛾子。另一点则是,买完这台机器没几个月,T160出来了,本着电子设备买新不买旧的原则,内心略微有点失落的,不过也都还能够接受。
15U机柜“设备避风港”就位。说真的,对于机柜这个事,我内心多少有些对不住我的那些设备的,从风餐露宿到拥有独立的避风港演变过程中,时间跨度太久了,它们着实经历太多太多。最初只是一个简单的置物架,风尘仆仆,最久的设备已服役了长达8年之久。
2.5G四口网卡采购。本项需求源于我那家庭核心软路由工控机突然驾崩,机柜由无法再容纳更多的交换机设备,于是从多网口的网卡入手,顺便提升一下日常助力机器到服务器T150之间的带宽,为后期大规模文件传输做基础铺垫。
老设备机箱改机架式,为了更好地将一些不规则的设备融入机柜中,决定将以前的一台垃圾桶形态的机箱改成机架式,经过对其内部零件的评估,至少需要2U的容量方可容纳,由于其原始电源体积较小,无法直接安装到2U机架式机箱里边,通过采购SFX转ATX转接版,完美解决。
智能开关。机柜安排到位后,越发想要得知整个机柜实际功耗情况,于是就给安排了一个小米智能插座,最初没太注意插头型号,买成空调那个了,16A,第二次又买了一个10A型号的。
桌面开关。当我的设备收纳进机柜之后,很多设备都是靠远程网络唤醒来达成自动开机的目的,然而我的日常主力机器经常因为睡眠后无法成功网络唤醒,于是给它外置了一个桌面开关,放置在机柜上头。
网络升级
本地组网。光猫改桥接,由T150服务器进行宽带拨号。整个物理链路连接示意图如下,未设置独立交换机,由PVE虚拟桥接充当交换机作用。
异地组网。原先由欧喷微匹恩和Wireguard混合组网,实属不太优雅,纯IPv4栈过度依赖腾讯云广州机房VPS终极回家,还涉及到嵌套隧道,影响网速,再加上流量管子太小,体验极差。于是乎下定决心迁移,耗时两周,完成了无须公网IP也可优雅回家方案,主要依赖开源项目Headscale、Tailscale客户端、Derp、以及打洞工具Natter,具体实现可观摩我往期文章。
私有云管平台改造
经历过数据丢失恢复的吐血过程后,为进一步优化备份效率,我决定将家庭私有云的虚拟机开启热备,统一向proxmox官方提供的备份方案Pbs对齐目标,紧接着就是全面将lxc容器向KVM转化,每周定期执行热备操作。为什么不用LXC,出于它的备份效率太低,且需要占用大量本地磁盘作为一个缓存过度,属实不够优雅。
应用软件新增
Web应用网关替代。原先采用了nginx,它日志格式对json为自定义构造,往往因为有些字段数据类型不一致,导致构造的json格式并不规范,造成解析日志报错,时常丢失一些日志。而Traefik对日志原生比较友好,默认就有输出json可选,主要还是源于引入authentik统一认证,所看的那个博主采用了Traefik,考虑到其对云原生更贴切,决定深度学习,并完成迁移工作。
wikijs知识库,对内对外均部署了一套,支持评论及ES全局搜索,具有现代化的UI界面。
Outline,我用做它为在线协助文档使用,美观大方,编辑过程赏心悦目。相比wikijs的目录结构更容易让人接受,在线图片可以直接复制给其他自媒体网页,这是obsidian无法满足的。
FreshRSS,这款资讯聚合工具,暂不考虑扶正,移动端体验不太友好,而且目前我的市场情绪接口依赖了TTRSS的数据库,暂时没有动力迁移。
Homeassistant,今年首次把它部署起来了,先拿智能插座来练手,熟悉下智能设备的联动管理。
安全升级
今年在安全方面的整改主要是统一认证系统改造,在改造之前,我主要依赖openldap来做家庭网络的统一认证,单纯地通过它很难达成单点登录效果,每登录一个系统都要输入一次密码,而且对一些老旧系统添加统一认证需要二次开发对接openldap,使用体验不够优雅,今年调研到authentik能够比较完美解决了家庭各类应用的认证问题,目前已经稳定运行数月了,期间它托管的Openldap曾出一次问题,我在配置实践上没严格按照官方文档来落地,不过不影响我的认证数据,重新配置后重建openldap容器即可。对于authentik对openldap的纳管,官方给出的还在试验阶段,不过当前对我家里情况还挺稳的,出了那次失误后,一直稳定至今。
雷池WAF。家庭Web应用接入WAF印象中是今年开始的,之前是用的modsec,由于它的规则管理实在受不了,决定采用雷池社区版。
蜜罐系统。加强对安全威胁的监测能力,提升攻防对抗主动性,我正式引入社区版蜜罐系统HFish,主要希望在真实攻击场景中去检验安全建设效果,提升对新型安全威胁的认知。
展望明年
明年更多将家庭私有云整套落地实践经验转化为文章,供感兴趣的小伙伴参考。另外,明年年初即将上线家庭数字展览,一起期待一下吧。